El «Repo-jacking» se ha convertido en un tema de preocupación en la comunidad de desarrollo de software de código abierto debido a su potencial daño en la cadena de suministro. Este método de ataque consiste en sustituir un paquete de software confiable por malware, lo que permite a un atacante distribuir software malicioso a una amplia gama de dispositivos. La amenaza se vuelve particularmente relevante cuando los desarrolladores descargan dependencias directamente desde repositorios en GitHub.
El riesgo de experimentar un ataque de «repo-jacking» se reduce considerablemente al usar gestores de paquetes como npm o PyPI, que incorporan controles de autenticación robustos y dificultan la inyección de paquetes maliciosos sin las credenciales del mantenedor original. No obstante, para aquellos desarrolladores que utilizan dependencias extraídas directamente desde GitHub, la amenaza se mantiene tangible.
El ataque puede materializarse si un usuario de GitHub decide cambiar su nombre de usuario. En tales casos, un atacante podría registrar el nombre de usuario previo del desarrollador y crear un repositorio con el mismo nombre que el original. Esto podría engañar a otros desarrolladores para que descarguen un paquete malicioso en lugar del legítimo. GitHub ha implementado un algoritmo de «tombstoning» que mitiga significativamente este riesgo al retirar de forma permanente las combinaciones de nombre de propietario y nombre de repositorio que han alcanzado un cierto nivel de uso.
A pesar de estas precauciones, el problema persiste para repositorios que no superan estos umbrales de uso. La redirección automática durante el renombramiento de repositorios también agrega un nivel de riesgo, facilitando el trabajo del atacante al pasar desapercibida la modificación del nombre de una dependencia.
Para minimizar este riesgo, se recomienda a los desarrolladores bloquear sus dependencias a un ID de commit específico. Este método asegura que se descargue un commit específico, que no puede ser alterado fácilmente por un atacante a menos que logre comprometer el algoritmo de hash SHA-1, algo teóricamente posible pero extremadamente improbable. Herramientas como los archivos go.sum en Go o las referencias específicas a commits en GitHub Actions refuerzan la protección contra los ataques de «repo-jacking».
GitHub también ofrece la posibilidad de verificar si un repositorio ha sido renombrado o reemplazado a través de su API. Cada repositorio tiene un ID único que permanece constante aunque el nombre del repositorio cambie. Verificar que el ID del repositorio no ha variado es una manera eficaz de identificar posibles intentos de «repo-jacking».
En resumen, aunque el «Repo-jacking» representa una amenaza potencial, los desarrolladores pueden protegerse de manera efectiva mediante buenas prácticas de seguridad y utilizando las herramientas que GitHub proporciona. Las nuevas iniciativas en la seguridad de la cadena de suministro, como el uso de tokens OIDC en los flujos de trabajo de GitHub, están mejorando aún más la seguridad y reduciendo la posibilidad de estos ataques.
